[시큐리티플러스의 보안 원포인트 레슨: 모든 보안 역량을 SIEM으로 통합하고 시나리오 기반으로 점검하라.]
현재 일정 수준 이상의 많은 기업들은 이미 상당 수의 보안 솔루션을 운영하고 있습니다. 현 시점에 있어 보안을 잘 하기 위한 2가지 팁(Tip)을 소개 드립니다.
첫째는, 가급적 많은 보안 솔루션들으로부터의 로그를 ESM 혹은 SIEM으로 통합해야 합니다. 그리고 종래의 방화벽, IPS/IDS, 안티 바이러스 중심에서 공격 시나리오 기반으로 탐지 룰을 설정하길 권장합니다.
두번째는, 해당 시나리오 기반으로 탐지할 수 있는지 꼭 테스트해 보기 바랍니다. 관제 담당자나 관제팀에게 알리지 않고, 특정 사용자 PC에서 내부 시스템으로 스캐닝 툴을 돌려 본다거나, 특정 중요 시스템에 과도한 로그인 실패 후 성공 이벤트를 발생시켜 본다든가. 해커가 없더라도 시나리오 중심으로 현재 보안 체계의 탐지력과 대응력을 점검해 보시기 바랍니다.
댓글 없음:
댓글 쓰기